[Noticia] Antivirus

como las casualidades no existen, tu eres el Cuervo-Ciervo
dolido por el estupendo articulo de JM Tella unos mensajes
cecanos al tuyo.

Como parece que tambien te ha dolido, te lo coy a pegar
aquí, a ver los conocimientos tecnicos que tienes para
rebatir JO JO JO JO JO
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos
existentes para colocar una trampa explosiva en un sistema
con el fin de que los usuario no tengan ninguna idea de lo
que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo
estos conceptos estan centrados en "herramientas" que se
ejecutan como programas normales aunque con malevolos
resultados y se ocultan en los mismos lugares que podemos
descubrir o que un tecnico o que otro programa puede ver
con relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y
pueden ser mucho mas incisivos. Cuando un hacker posee
conocimientos profundos de la arquitectura de un sistema
operativo, la completa violacion de la integridad del
sistema puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos
gusanos que han inundado e inundad internet: blaster y
sasser, Debido a una vulnerabilidad del sistema operativo,
se podia tomar control de nuestra maquina desde cualquier
otra maquina de internet de una manera manual con solo
saber nuestra IP. Realmente tampoco era necesario saberla
ya que se hacian grandes barridos de direcciones IP para
pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios
gusanos en si, salieron mas tarde o mejor dicho a
continuacion que Microsoft deistribuyera los parches de
seguridad. Los hacker suelen usar tecnicas de ingenieria
inversa para analizar lo parches y saber a traves de su
analisis en que era vulnerable el sistema operativo.
Sabiendo lo anterior ya solo les queda el hacer un
programa que explote dicha vulnerabilidad y a
continuacion, otro submundo de ellos, crean gusanoscomo
los anteriores para infectar la red. Debemos resaltar que
esto solo es posible en aquellas maquinas en las que el
usuario es lo bastante temerario como para incumplir dos
premisas: no usar cortafuegos y no usar laos mecanismos de
actualizaciones automaticas de los sistemas operativos.
Por desgracia y frente a los ataques e infecciones
masivas, podemos comprobar que los usuarios, en general,
cumplen estas dos premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el
conocimiento de explotar una vulnerabilidad de este
estilo, junto con un conocimineto profundo del sistema
operativo? Esto no es en absoluto descabellado, maxime
cuando dichos atacantes son capaces mediante ingenieria
inversa de un parche el obtener la explotacion de una
vulnerabilidad en solamente unos dias. ¿que ocurriria si a
traves de una de estas vulnerabilidades nos introdujesen
un rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del
sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que
las plataformas unix-linux permiten que el propio usuario
puede compilar (y normalmente "debe" hacerlo) el nucleo
del sistema operativo para generar una imagen optima para
su sistema.

Se asigna el nombre de "rootkit" a los paquetes de
software que sustituyen a los troyanos por binarios
utilizados frecuentemente por el propio sistema operativo
porque implican el pero compromiso posible e los
privilegios de la maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro
categorias:

1) Troyanos de versiones modificadas de comandos basicos
como: login, netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red
(sniffers).
4) Limpiadores de los registros del sistema (limpiadores
de logs).

Los rootkits de unix-linus son abundantes y podemos
verificarlo dandonos un simple paseo por:
http://packetstorm.widexs.nl/UNIX/p.../rootkits/
Tambien en /UNIX/misc en este mismo sitio podremos
encotrar algunos paquetes "interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas
notables alardeandose de haber generado versiones de
puertas traseras de algunas de las utilidades mas criticas
de la shell (entra las que se incluyen el comando "su",
un "ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los
sistemas actuales (XP / W2003) proviene de NT/W2000 y
adquirieron su propio rookit en 1999, "cortesía" del
equipo de Greg Hoglund en http://www.rootkit.com o bien en
http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar
un prototipo de trabajo de un rootkit de windows que podia
ocultar claves de registro y efectuar redirecciones de
programas .EXE. Opciones que se pueden utilizar sin mas
para convertir en troyanos a archivos ejecutables normales
sin modificar su contenido. Todos los trucos realizados
por el rootkit estaban basados en la tecnica de "funcion
enganchada" -establecer un "hook"-. El sistema era trivial
parcheando un nucleo de NT / W2000 / XP de tal forma que
se usurpan las llamadas al sistema: por tanto, el rootkit
podrá ocultar un proceso, clave de registro o archivo o
podrá redirigir las llamadas a las funciones troyanas. El
resultado es mucho mas peligroso que el provocado por un
rootkit del estilo troyano: el usuario ya *nunca* podrá
estar seguro de la integridad del codigo que está
ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o
programas, ni tan siquiera en un simple "dir" (o "ls" en
linux), nos ha llegado la hora de arrojar la toalla:
realize una copia de seguridad de sus archivos de datos
criticos (nunca de ejecutables !), limpie completamente
su sistema y reinstalelo de soportes originales. No
confiar en las copias de seguridad ni de las imagenes
realizadas ya que nunca sabrá en que momento el atacante
ha podido conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden
tomar huella digital de los archivos y hacernos saber si
uno de los archivos originales ha sido modificado. Sin
embargo, la redireccion de ejecutables realizada por
ciertos rootkits en el entorno windows puede anular esta
tactica porque el codigo en cuestion no se modifica, sino
solo se engancha y canaliza hacia otro ejecutable.

La imaginacion queda libre entonces para saber todo lo que
pueden hacer a un usuario domestico y lo que es peor, a
redes corporativas, bancos, instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques
de escucha en una red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en
nuestra maquina, ser tambien cuidadosos con la seguridad
en la red en todos los sentidos: usar herramientas de
cifrado de comunicaciones, tales como Secure Shell (SSH),
Secure Socket Layer (SSL), correo electronico seguro
mediante Pretty Good Privacy (PGP) o un sistema de cifrado
de la capa IP como los que proporcionan los servicion VPN.
Esta es la unica forma realmente valida de rechazar los
ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y
envergadura de estos programas maliciosos, indetectables
tanto ahora como en el furturo al tener el control
completo o poderlo tener de nuestra maquina y por tanto
ser capaces de enegañar a cualquier otro proceso, es usar
el sentido comun: cortafuegos, sistemas operativos
rigurosamente al dia, proteccion completa de la red y
comunicaciones.

A nivel domestico, creo que sobra decir que hay dos
herramientas basicas: firewall (cortafegos) y sistema
operativo al dia son totalmente indispensables. Y
herramientas del estilo de antivirus y ad-aware que se
deben ejecutar, pero... ¿estos ultimos nos garantizan
algo?: nada en absoluto ya que efectivamente nos pararan
los virus conocidos. Pero por desgracia, para llegar a ser
conocidos, antes habran infectado millones de maquinas.
Por tanto, siempre, y como primera herramienta debemos
tener el "sentido comun": no ejecutar nada que no sea en
soporte original o bajado de webs oficiales (entrañan
tambien un pequeño riesgo). No ejecutar por tanto ningun
adjunto del correo. En principio, yo particularmente,
elimino todos los correos con adjuntos, y si se puede
establecer una regla en el lector de correo para ello, es
lo mejor. Nunca bajarse nada de las redes P2P. Existen
multitud de gusanos en estas redes, y el instalar
simplemente un programa P2P en nuestra maquina ya nos hace
vulnerables. Y sobre todo "sentido comun": recordemos que
nadie en la calle nos regala nada por nada. En la red.
tampoco. Pagaremos un precio por ello.

En Alemania se rumorea la inminente aparición de un
antivirus que no utiliza firmas para detectar los virus
conocidos, ni procesos heurísticos para los no conocidos.
Según dicen, el antivirus se incorporaría en los nuevos
equipos, en un chip especifico, en la placa base y los
equipos antiguos tendrían que utilizar una tarjeta.

El antivirus actúa como los 'San Cristobal' que se ponían
en el salpicadero del coche, con la leyenda 'no corras
papá', pero es mucho más potente, porque se trata de un
ángel, 'el ángel de la guarda', que tiene muchos más
poderes que un simple santo. La leyenda que acompaña al
'ángel de la guarda' es: 'Cuatro angelitos tiene mi cama,
cuatro angelitos que me la guardan'.

De ser cierto el rumor, este antivirus deja totalmente
fuera de juego el Tella's common sense, pues utiliza
tecnología divina.

Andres Fernandez




.